资讯专栏INFORMATION COLUMN

Rsyslog小百科之操作记录日志审计开启

IT那活儿 / 3781人阅读
Rsyslog小百科之操作记录日志审计开启

点击上方“IT那活儿”,关注后了解更多精彩内容!!!

日志系统的重要性


在一个健全的应用系统中,日志系统是一个非常重要的组成部分。日志系统可以记录下系统产生的所有行为,能够在系统异常时给运维人员指明方向,能够使运维人员及时排错,优化系统。因此在一个完整的系统中,日志是非常重要的。

在安全的领域中,安全系统需要记录在服务器上面的所有操作,同时对这些操作的危险性进行评估,并发送出对应的告警。同时如果系统中有任何组件异常也可以从操作历史命令中发现异常。因此,主机系统的操作日志也在日志系统中有着举足轻重的地位。
因此,今天我们通过rsyslog服务来开启系统操作日志的记录。

Rsyslog服务


rsyslog服务是一个syslog的多线程增强版,提供了高性能,极好的安全功能和模块化设计。同时支持不同服务器中的日志转发,因此,使用rsyslog搭建系统操作记录日志中转平台是首选。


操作开始

首先,在进行操作前,需要先了解rsyslog服务中的local0-7的用法。Local0-7日志为rsyslog服务提供的共用户使用的自定义日志,我们只需要将操作日志自定义存储到local0-7日志中的一部分,即可对日志进行转发等配置。
其次,在进行操作日志记录的配置的时候,我们需要先确定一点,我们在日志中需要什么信息。我们首先需要的是最基本的,操作的命令和操作命令对应的时间。其次,目前大部分服务器都是通过远程了连接的方式登录,因此获取远程操作此服务起的主机ip也就至关重要了。然后,在日常操作中,我们操作的命令并不一定是全路径,因此获取执行操作是的路径也非常重要。最后就是获取主机的IP。
分析完毕后,我们可以发现,前面几项都可以通过格式化history命令来实现,最后一项则需要自己编写命令来获取主机IP。
接下来,就开始正式操作。第一个难题,我们如何去记录这些命令呢,我首先想到的方案是编写脚本实时运行在主机上。但是此条直接被我pass掉。先不说是否对主机性能存在影响,但是每台服务器都需要维护,就是一大维护工作量。因此最好将这些东西集成到系统中。然后我就想到了既然能够在环境变量的配置文件格式化历史命令,那么我能不能尝试在环境变量中测试脚本呢?
因此,我编写了一个简单的脚本,通过这个脚本可以及时记录这些操作命令的相关信息,并将其记录到rsyslog服务的local4.info日志中。这个脚本简单易懂,一目了然。
a. 在使用source /etc/profile 命令刷新环境变量文件后,发现并无明显脚本错误的地方。然后测试history命令是否成功。
b. 很显然,测试成功。然后输出HOSTIP变量,查看获取到的ip是否准确
c. 操作成功,最后头疼的是我们并没有办法查看日志是否记录到的local4.info日志中。但是,rsyslog默认的message日志是能够记录主机上面所有info级别的日志,然后查看message日志,果然成功了。
d. 至此我们离成功只剩一步,我们只需要将这个日志输出到一个固定的文件中即可。主机的操作记录日志注定不会存在很大的记录量,因此我们无需考虑日志占用空间问题。
e. 这时候我们直接在/etc/rsyslog.conf文件中添加一条配置:
f. #将操作日志输入到/var/log/下面的history.log中:
local4.info    /var/log/history.log
g. 然后执行重启rsyslog的命令使其生效:
service rsyslog restart
h. 重启后可以在/var/log下面看到history日志:
i. 打开日志,可以看到我们成功了。
话语说到这里,也该结束了本篇文章,本文中所讲解的用法只使用了rsyslog服务的基本功能,还有更多用法有待挖掘,例如日志转发等,但这些不在本文涉及范围内,就不再过多讲解,感谢大家的观看!
本 文 原 创 来 源:IT那活儿微信公众号(上海新炬王翦团队)

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/129713.html

相关文章

  • DRDS SQL 审计与分析——全面洞察 SQL 利器

    背景 数据库存储着系统的核心数据,其安全方面的问题在传统环境中已经成为泄漏和被篡改的重要根源。而在云端,数据库所面临的威胁被进一步的放大。因此,对云数据库的操作行为尤其是全量 SQL 执行记录的审计日志,就显得尤为重要,是保障云数据库安全的最基本要求。那么针对云数据库的 SQL 审计,您是否存在如下疑问: SQL 审计对数据库的性能有影响吗? 数据被篡改,但是没启用 SQL 审计,还能追溯篡改者...

    WalkerXu 评论0 收藏0
  • 利用ELK搭建Docker容器化应用日志中心

    摘要:概述应用一旦容器化以后,需要考虑的就是如何采集位于容器中的应用程序的打印日志供运维分析。 showImg(https://segmentfault.com/img/remote/1460000014146680); 概述 应用一旦容器化以后,需要考虑的就是如何采集位于Docker容器中的应用程序的打印日志供运维分析。典型的比如 SpringBoot应用的日志 收集。本文即将阐述如何利...

    周国辉 评论0 收藏0

发表评论

0条评论

IT那活儿

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<